ID/パスワードは危険~電子証明書で防ぐ情報漏洩の具体策~
情報システムの姿は、日々進化している。特に、クラウドとスマートフォンは欠かせない要素となった。実は、こうしたシステム環境の変化は、企業のセキュリティ施策にも影響を与えている。システムを安全に運用するための技術として、PKI(公開鍵暗号基盤)を利用した電子証明書が脚光を浴びている。
クラウドとスマホは情報システムの2大トレンド
クラウドは、業務アプリケーションの利用形態を大きく変えた。以前であれば社内で所有・運用していた業務アプリケーションの多くは、すでにSaaS(Software as a Service)というかたちで、インターネット上のサービスとして利用できる。需要に応じて、グループウエアやCRM(顧客関係管理)など複数のSaaSを同時に利用するのが一般的だ。
スマートフォンの台頭も目覚しい進化だ。iPhoneなどのスマートフォンは、メールやグループウエアなどの情報伝達の手段として、さらに業務アプリケーションに遠隔アクセスするクライアント端末として、パソコンと同等以上の使い方ができる。特に、いつでもどこでも簡単に操作できる点はパソコンにはないメリットであり、クラウド端末としても最適な選択の1つとなっている。
クラウド/スマホが抱えるセキュリティ上の課題
ただし、この一方で、クラウド時代の到来とスマートフォンの台頭は、セキュリティ上の新たな課題を生んだ。具体的には、ID/パスワードによる古典的なユーザー認証だけでは、高いセキュリティを確保できなくなったのだ。
クラウドの場合、まず第1に、インターネット上のリソースであるため、社内システムと比べてID/パスワードが漏えいするリスクが高い。第2に、複数システム間で同一のID/パスワードを流用した場合、1つのシステムからID/パスワードが漏えいすると、他のシステムに不正にアクセスされるリスクが高まる。
スマートフォンにもセキュリティ上のリスクがある。例えば、アプリケーションによっては、無線LANを使っている場合などに、通信経路上でID/パスワードを盗聴される恐れがある。いつでもどこでもアクセスできるのはスマートフォンの利点だが、それだけID/パスワードが漏えいするリスクにもさらされることになる。
2要素認証としてクライアント証明書の需要が高まる
今こそ、ユーザー認証の強化が求められている。具体的には、ID/パスワードによる既存の認証手段に加え、より安全な別の認証手段を加えた2要素認証が求められる。2要素認証を利用することで、クラウドとスマートフォンが一般化した現在の情報システムを、より安全に利用できるようになる。
2要素認証として利用できる認証手段には、電子証明書、ワンタイム・パスワード、生体認証など、各種の認証手段がある。こうした中、スマートフォンに特に向いた手段が、PKIを利用した電子証明書だ。クライアント証明書をスマートフォンに導入しておけば、利用者は、電子証明書の運用を特に意識することなく、認証機能を利用できる。さらに、クライアント証明書は通行証のようなもので、「クライアント証明書が格納された端末のみからアクセスを許可する」といったデバイス認証が可能である。
では、クライアント証明書は、どうすれば導入できるのか。ここで、利用すると便利なサービスがある。電子証明書の登録と発行の機能(認証局)をホスティング型で提供するSaaS型サービスだ。これを使うと、企業のシステム管理者は、Webブラウザを使った簡単な操作だけで、自社の社員に対して証明書を自由に発行できる。
|
マネージドPKI Liteを使えば、アクセス認証に使うクライアント証明書を自在に発行できる |
10台10万円からのスモール・スタートが可能
証明書発行機能のSaaSサービスは各社が提供している。こうした中、利用料金の安さが目立つサービスが、グローバルサインが2009年6月から提供している「マネージドPKI Lite」だ。最小構成時10ライセンスで年額10万5000円(税込)と、競業他社と比べて安価な料金を設定している。
10ライセンスという小規模から導入できるため、まずはスマートフォン10台に導入して試す、といった使い方ができる。さらに、安価であるにも関わらず、電子証明書の用途を限定していないこともメリットだ。アプリケーションを用意すれば、例えばメールに電子署名を施して暗号化するなど、Webアクセス(SSLクライアント認証)以外の用途にも利用できる。
クライアント証明書を使うとセキュリティが確保できる理由や導入メリット、マネージドPKI Liteの詳細は、以下のホワイト・ペーパーを参照すると、詳しく書いてある。